More Related Content
Similar to (Fix)Azure Network Security Group(NSG)のおさらい (20)
More from Yoshimasa Katakura (6)
(Fix)Azure Network Security Group(NSG)のおさらい
- 2. 自己紹介
片倉 義昌 (かたくら よしまさ)
(株)pnopで働いてます
Azureコンサルティングとかしてます
元インフラエンジニア、元プログラマ(C, ASM)
Microsoft MVP for Azure (2017~)
2
yoshimasa.katakura@yo_ta_n
はい次12345678910
- 5. まずはAzure IaaSとPaaSのおさらい
(いつものスライド)
5
Copyright© 2019, Y.Katakura All Rights Reserved.
Office 365
Dynamics 365
Microsoft Azure
オンプレミス IaaS(仮想マシン) PaaS SaaS
アプリケーション
データ
ランタイム
ミドルウェア
OS
仮想化技術
サーバー
ストレージ
ネットワーク
仮想化技術
サーバー
ストレージ
ネットワーク
OS
データ
ランタイム
ミドルウェア
アプリケーション
お客様 マイクロソフト
お客様によるセキュリティ、運用管理の責任
- 6. IaaSの基本構成おさらい
6
Copyright© 2019, Y.Katakura All Rights Reserved.
(VM)
(OS Disk) (DATA Disk)
(NIC)
(NSG)
(NSG)
(PIP)
(Load Balancer)
(192.168.1.4)
(192.168.1.10)
(192.168.1.11)
(192.168.0.4)
• 仮想マシンは仮想ネットワーク内のサブネットに配置する(厳密にはNIC)
• 仮想マシンのNICは1つ以上利用可能
• 仮想マシンにはOSディスクの他にデータディスクが追加可能
• 仮想マシンのNICにはパブリックIPアドレスを追加可能
• ロードバランサには内部ロードバランサとパブリックIPを持つ外部ロードバランサがある
• Network Securiry Group(NSG)はサブネット若しくはNICに適用可能
- 12. Azure Cache for Redis
Azure App Service Environment(ASE)
RedisもASEも仮想ネットワーク上に配置できます
12
Copyright© 2019, Y.Katakura All Rights Reserved.
https://azure.microsoft.com/ja-jp/services/cache/
https://docs.microsoft.com/ja-jp/azure/app-service/environment/intro
(Virtual Machine)
(Redis) (ASE)
仮想マシンから閉域網で
App Serviceにアクセス
仮想ネットワーク内
からRedisにアクセス
- 19. NSGに設定するルールについて
ソース(送信元)
Any(全て)、IP Address(CIDR形式、複数
記述可能)、サービスタグ、
Application Security Group名
ソースポート範囲
複数記述可能、5000-5100等の範囲指
定も可能
通常指定しない(*にする)場合が多い
宛先(送信先)
Any(全て)、IP Address(CIDR形式、複数
記述可能)、サービスタグ、
Application Security Group名
宛先ポート範囲
複数記述可能、5000-5100等の範囲指
定も可能
プロトコル
Any, TCP, UDP
アクション
許可、拒否
優先度
100~4096の範囲で指定、値が小さい
程高優先になる
名前
任意の名前、受信セキュリティ規則、
送信セキュリティ規則、デフォルト
ルールの名前と重複してはいけない
後から変更不可
19
Copyright© 2019, Y.Katakura All Rights Reserved.
- 20. NSGルールで指定可能なサービスタグ
VirtualNetwork
AzureLoadBalancer
Internet
AzureCloud/ AzureCloud.[RegionName]
AzureTrafficManager
Storage / Storage.[RegionName]
Sql / Sql.[RegionName]
AzureCosmosDB / AzureCosmosDB.[RegionName]
AzureKeyVault / AzureKeyVault.[RegionName]
EventHub / EvnetHub.[RegionName]
ServiceBus / ServiceBus.[RegionName]
MicrosoftContainerRegistry /
MicrosoftContainerRegistry.[RegionName]
AzureContainerRegistry /
AzureContainerRegistry.[RegionName]
AppService / AppService.[RegionName]
AppServiceManagement /
AppServiceManagement.[RegionName]
ApiManagement
AzureConnectors / AzureConnectors.[RegionName]
GatewayManager
AzureDataLake
AzureActiveDirectory
AzureMonitor
ServiceFabric
AzureMachineLearning
BatchNodeManagement
20
Copyright© 2019, Y.Katakura All Rights Reserved.
Azure Database for MySQL,
PostgreSQLはまだ未対応なの
ね……
https://docs.microsoft.com/ja-jp/azure/virtual-network/security-overview
- 29. リモート接続するIPアドレスは制限しま
しょう
29
Copyright© 2019, Y.Katakura All Rights Reserved.
アクセス元のIPアドレスを個別に指定して特定の拠点やPCからのみ接続可能にしましょ
う
アクセス元のIPアドレスが不定の場合にはAzure Security Centerの「Just in time access」の
利用も検討しましょう
https://docs.microsoft.com/ja-jp/azure/security-center/security-center-just-in-time